Re: freebox et ip_split

Top Page
This message is part of the following thread:
Mthe complete thread tree sorted by date
MRaphaël Jacquot at <-
MOlivier Allard-Jacquin at ->

Reply to this message
Author: Jérôme Kieffer
Date:  
To: guilde
Subject: Re: freebox et ip_split
On Tue, 17 Mar 2020 21:01:42 +0100
Raphaël Jacquot <sxpert@???> wrote:

> ils ont changé le fonctionnement
> maintenant l'ipv6 est natif, et l'ipv4 est tunellé vers un bidule CGNAT
> qui ne fonctionne jamais bien.

C'est ce que j'ai constaté ... j'ai rien contre l'IPv6 mais de là à couper l'IPv4, c'est laxatif.

> solution:
> faire un tunnel ipsec au dessus d'ipv6 vers un endpoint que tu maitrises
> en datacenter

J'ai déjà une infra OpenVPN avec KPI chez moi. Si je leur file une clé,
ils peuvent initier une connection sur mon réseau depuis internet et je
peux acceder en retour chez eux.

C'est la même idée que celle d'Olivier avec deux point positifs:
* le VPN, c'est de l'UDP dont on fait pas transiter du TCP sur du TCP
comme dans la solution d'Olivier car ca peut créer des dead-locks.
* Éviter de créer un compte dédié sur le serveur chez moi ... surtout
si le shell est customisé. C'est pas que j'ai pas confiance mais une
faille de sécu est si vite arrivée.

Et un point négatifs:
* OpenVPN nécessite d'être lancé en root (dans mon infra, c'est du VPN
en couche 2/ethernet, pas en couche 3/IP) or ils ont ni sudo, ni le mot
de passe root de la machine linux (ils n'en ont pas besoin).

Merci Olivier et Raphaël pour ces idées.

A+

Jérôme


This message was posted to the following mailing lists:
Guilde
Mailing List Info | Nearby Messages		<-Re: freebox et ip_splitRe: corona virus --> fermeture du log jusqu'à nouvel ordre->
Archive des listes de la GUILDE administrated by L'administrateurLurker (version 2.3)